Beleidsmakers van de Europese Unie bespreken in Brussel nieuwe regels voor data-opslag en digitale soevereiniteit. De inzet is meer controle over clouddiensten en gevoelige informatie, met grote gevolgen voor Europese digitalisering en de gevolgen voor het bedrijfsleven. De discussie speelt op het moment van schrijven, nu organisaties massaal naar de cloud verhuizen. Bedrijven en overheden willen zekerheid over waar data staat en wie erbij kan.
Nieuwe regels voor cloud
De EU werkt aan het European Union Cybersecurity Certification Scheme for Cloud Services (EUCS). Dit is een keurmerk dat aangeeft hoe veilig een cloudplatform is, met niveaus zoals “basic”, “substantial” en “high”. Het doel is één Europees kader in plaats van losse nationale eisen. Op het moment van schrijven is het schema nog in uitwerking.
Een heet hangijzer is data-opslag binnen de EU voor overheid en vitale sectoren. Voorstanders zeggen dat dit de regie en het toezicht versterkt. Tegenstanders vrezen hogere kosten en minder keuze. Zij wijzen op het risico van fragmentatie en minder innovatie.
De AVG (Algemene Verordening Gegevensbescherming) blijft de basis voor dataverwerking. Voor doorgifte naar landen buiten de EU gelden strenge waarborgen, zoals standaardcontracten en aanvullende beveiliging. Na het wegvallen van Privacy Shield in 2020 is het EU‑VS Data Privacy Framework ingevoerd. Dat raamwerk wordt juridisch getoetst en kan nog veranderen.
Discussie over soevereiniteit
Digitale soevereiniteit gaat over controle houden over technologie, data en kritieke systemen. De zorg is dat buitenlandse wetgeving, zoals de Amerikaanse CLOUD Act, toegang tot data kan afdwingen. Dit kan zelfs gelden als informatie fysiek in Europa is opgeslagen. Europese instellingen willen daarom duidelijker grenzen en technische waarborgen.
Digitale soevereiniteit betekent dat Europa zijn technologie en data binnen de eigen rechtsorde kan beheren, beveiligen en controleren.
Grote cloudaanbieders spelen hierop in met “sovereign cloud”-opties. Microsoft biedt de EU Data Boundary en versleuteling met eigen sleutels. Google en AWS bieden vergelijkbare functies, zoals klantbeheer van encryptiesleutels en regionale opslag. Deze functies beperken interne toegang en verminderen datastromen buiten de EU.
Toch blijft er twijfel over ondersteuningsprocessen en metagegevens. Ook beheer op afstand en softwareupdates kunnen juridische vragen oproepen. Daarom zet de EU naast beleid ook in op audit, logging en aantoonbare versleuteling. Zo moet controle niet alleen in beleid, maar ook in techniek zichtbaar zijn.
Impact op Nederland
Voor Nederlandse overheden gelden de BIO‑normen (Baseline Informatiebeveiliging Overheid) en richtlijnen van het NCSC. Cloudgebruik is mogelijk, maar alleen na risicoanalyse, versleuteling en duidelijke afspraken. Veel organisaties gebruiken Microsoft 365 of publieke cloudplatforms met aanvullende beveiligingsmaatregelen. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG.
Nederlandse bedrijven, van mkb tot grootbedrijf, leunen vaak op AWS, Microsoft Azure en Google Cloud. Europese alternatieven zoals OVHcloud, T‑Systems en Nederlandse aanbieders bestaan ook. De keuze draait om kosten, prestaties, compliance en contractvrijheid. Meer Europese eisen kunnen die afweging verschuiven.
De Data Act moet overstappen tussen clouddiensten makkelijker maken. Deze wet verplicht aanbieders om “cloud switching” te ondersteunen en exit‑kosten af te bouwen. Interoperabiliteit via open standaarden en exporttools wordt belangrijker. Dit verkleint de afhankelijkheid van één leverancier.
Wat verandert voor bedrijven
EUCS wordt naar verwachting een vrijwillig certificaat, maar kan verplicht worden bij inkoop door overheden of in kritieke sectoren. Dat betekent dat aanbestedingen vaker om gecertificeerde diensten zullen vragen. Bedrijven die aanleveren aan de overheid moeten hun cloudkeuzes daarop afstemmen. Tijdig certificeren kan een concurrentievoordeel geven.
Organisaties doen er goed aan data te classificeren: openbaar, intern, vertrouwelijk of strikt. Strikte data vraagt end‑to‑end‑versleuteling en sleutelbeheer onder eigen controle. Ook is het raadzaam logging, monitoring en toegang tot beheerfuncties in de EU te houden. Zo sluit de praktijk beter aan op beleid en toezicht.
Contracten met cloudaanbieders verdienen herziening. Denk aan afspraken over datalokalisatie, sleutelbeheer, incidentmelding en terughaalbaarheid van data. De Data Act verlangt realistische overstaptermijnen en technische exportpaden. Wie AI‑diensten inzet, krijgt bovendien te maken met de AI‑verordening en risicobeheersing.
Politieke besluitvorming loopt door
De komende maanden werken lidstaten en de Europese Commissie verder aan de uitwerking van EUCS. Intussen treden andere regels in werking. NIS2 voor vitale sectoren wordt nationaal geïmplementeerd in 2024‑2025. Grote delen van de Data Act gaan gelden vanaf 2025.
De rechtmatigheid van het EU‑VS Data Privacy Framework hangt aan procedures bij het Hof van Justitie. Bedrijven moeten daarom blijven rekenen op standaardcontracten en sterke versleuteling. Privacy‑impactanalyses blijven verplicht bij risicovolle verwerkingen. Dit voorkomt verrassingen bij een eventuele nieuwe uitspraak.
In de EU zijn de meningen niet overal hetzelfde. Sommige lidstaten willen harde soevereiniteitscriteria in cloudbeleid. Andere landen kiezen voor technologieneutraal beleid met nadruk op beveiliging en interoperabiliteit. De uitkomst wordt waarschijnlijk een mix van beide benaderingen.
Voor Nederland is duidelijk wat nu telt: transparante beveiliging en aantoonbare controle over data. Heldere contracten, toetsbare techniek en onafhankelijke audits zijn sleutelwoorden. Zo blijft innovatie in de cloud mogelijk, zonder concessies aan privacy en veiligheid. Dat is de kern van het Europese techbeleid op dit dossier.